En mayo de 2018 entra en vigor el nuevo Reglamento de Protección de Datos personales, que fue dictado por la Comisión Europea en 2016 y es de aplicación en todos los países de la Unión. Para dar a conocer el impacto que pueda tener en las clínicas privadas (fuera de las aseguradoras o grandes franquicias) exponemos, a continuación, las novedades a implementar.
Dividiremos las novedades en relación a los derechos de los pacientes y las nuevas obligaciones del responsable del fichero.
Derechos de los pacientes:
– Será necesario incluir la base legal sobre la que se fundamenta que pidamos los datos al paciente. Esto puede añadirse al documento que se debe entregar al paciente solicitando su autorización para ser incluido en el archivo de protección de datos de la clínica. Por ejemplo, si tenemos este texto para que lo firme el paciente:
Habría que incluir la ley sobre la que se fundamenta: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.
– Deben explicarse y facilitarse por escrito al paciente las razones por las que se le incluye en el fichero de protección de datos. Dichas clausulas deben ser «concisas, trasparente, inteligible, fácil acceso y lenguaje claro y sencillo.» También se deben evitar fórmulas farragosas y remisiones a textos legales.
– Derecho al acceso: se incluye un cambio importante, ya que habrá que facilitar al paciente la copia de los datos personales, no haciéndose referencia en el Reglamento a soluciones como la entrega de resúmenes. Además, este derecho es gratuito, a menos que la solicitud sea infundada o excesiva (sobre todo las repetitivas) en este caso se puede cobrar canon (correspondiente al coste de la tramitación). El plazo para entregar la documentación al paciente será de 1 mes (2 en caso especialmente complejo). Si hay mucha información se puede pedir qué datos concretos necesita. El Reglamento también expone que se debe facilitar la entrega telemática de los datos a los pacientes.
– Nuevo derecho al olvido: viene derivado del derecho al borrado de los datos. Aunque su aplicación la suponemos más adecuada a otras empresas (telefonía, internet) puede darse el caso que algún paciente lo solicite. La problemática de este derecho en los asuntos de salud es su incoherencia con respecto a la legislación, que obliga a custodiar dichos datos sanitarios por si el paciente quiere reclamarlos (Ley de autonomía del paciente). Por tanto, la Agencia deberá aclarar el alcance del mismo.
– Portabilidad: este nuevo derecho es de gran interés para las clínicas, ya que, si un paciente solicita los datos para irse a otra clínica, solo tendrá que autorizarnos para que la misma clínica que tiene sus datos, los envíe a la nueva clínica. Sin necesidad de entregárselos al paciente.
Nuevas obligaciones del responsable y encargado del fichero
Toda la documentación nueva que se expone a continuación deberá ser incluída en el documento de seguridad, cuya creación es obligatoria y debe custodiar el responsable del fichero.
– Contrato de encargo: El encargado del fichero deberá ofrecer garantías de que va a aplicar las medidas técnicas y organizativas para adecuarse al reglamento, formalizado mediante un contrato de encargo (con forma jurídica de contrato). Las directrices para realizar ese contrato de encargo tienen como base el artículo 25 del Reglamento de la UE. Para facilitar la redacción de dicho contrato la Agencia de protección de datos (AGDP) ha redactado unas directrices que podéis encontrar aquí: Directrices contrato de encargo.
– Elaborar una valoración de riesgo: Se debe realizar una valoración de los posibles riesgos iniciales que pueda tener nuestro fichero. Para ello, es necesario responder a una serie de preguntas, que vienen incluidas (página 17) en la Guía citada anteriormente que ha elaborado la AGDP.
– Mantener un registro de actividades de tratamiento (responsables y encargados): debe contener:
- Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese (esta figura la analizaremos más adelante).
- Finalidades del tratamiento
- Descripción de categorías de interesados y categorías de datos personales tratados
- Transferencias internacionales de datos (si los hubiere).
– Actuación ante una violación de seguridad: como tal se entenderá «la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos», por ejemplo, la pérdida de ordenador o de un disco duro con datos de pacientes. El cambio es importante ya que se obliga al responsable de fichero a comunicarlo a la Agencia de Protección de datos. Los detalles vienen expuestos a partir de la página 25 de la Guía. Es importante tener en cuenta que la notificación a los pacientes no será necesaria cuando:
- El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado de los datos.
- Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
- Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.
– Delegado de protección de datos: el Reglamento inluye una nueva figura, el delegado. Debemos tener en cuenta que la norma no obliga a contratar a nadie en ese puesto (o a que exista en la empresa) en todos los casos, ya que solo será obligatorio si se trata de:
- Autoridades y organismos públicos
- Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
- Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Por tanto, no parece que dicha figura sea de aplicación en las clínicas privadas.
– Datos de menores: se sigue manteniendo que, a partir de 16 años, el menor pueda dar su consentimiento para ser incluido en el archivo de protección de datos.
– Lista de verificación: se incluye en el reglamento la obligación de realizar una lista de verificación, que parece sustituir a la auditoría de seguridad del reglamento anterior. Dicha lista viene expuesta a partir de la página 31 de la Guía y debe ser custodiada en el documento seguridad.
Para completar la información sobre el Reglamento, la Agencia a redactado una Guía para la evaluación del impacto del mismo que puede ser consultada aquí.
Como podéis ver son varias las modificaciones que se presentan, pero su implantación, a nuestro entender, no parece compleja. Esperamos que nuestra pequeña guía os ayude a regularizar la clínica.